Provided by: manpages-de_4.26.0-1_all 
BEZEICHNUNG
pam_systemd_loadkey - Ein Passwort aus dem Kernel-Schlüsselbund lesen und es als PAM-Authtok setzen
ÜBERSICHT
pam_systemd_loadkey.so
BESCHREIBUNG
pam_systemd_loadkey liest eine durch Nullbytes getrennte Passwortliste aus dem Kernel-Schlüsselbund und
setzt das letzte Passwort in der Liste als das PAM-Authtok, das z.B. von pam_get_authtok(3) verwandt
werden kann.
Die Passwortliste soll in dem »Benutzer«-Schlüsselbund des Root-Benutzers durch einen früheren Aufruf von
systemd-ask-password(1) mit --keyname= gespeichert worden sein. Sie können den Schlüsselnamen mittels der
Option keyname= an pam_systemd_loadkey übergeben.
OPTIONEN
Die folgenden Optionen werden verstanden:
keyname=
Akzeptiert ein Zeichenkettenargument, das den zu lesenden Schlüsselnamen setzt. Die Vorgabe ist
»cryptsetup«. Während des Systemstarts speichert systemd-cryptsetup@.service(8) eine Passphrase oder
PIN in dem Schlüsselbund. Der LUKS2-Datenträgerschlüssel kann mittels der Option link-volume-key in
crypttab(5) auch verwandt werden.
Tabelle 1. Mögliche Werte für Schlüsselnamen.
┌────────────┬─────────────────────────────┐
│ Wert │ Beschreibung │
├────────────┼─────────────────────────────┤
│ cryptsetup │ Passphrase oder │
│ │ Wiederherstellungsschlüssel │
├────────────┼─────────────────────────────┤
│ fido2-pin │ Sicherheits-Token-PIN │
├────────────┼─────────────────────────────┤
│ luks2-pin │ LUKS2-Token-PIN │
├────────────┼─────────────────────────────┤
│ tpm2-pin │ TPM2 PIN │
└────────────┴─────────────────────────────┘
Hinzugefügt in Version 255.
debug
Das Modul wird beim Betrieb Fehlersuchmeldungen protokollieren.
Hinzugefügt in Version 255.
BEISPIEL
Dieses Modul sollte eingesetzt werden, wenn Sie LUKS mit einer Passphrase verwenden, automatisches
Anmelden in der graphischen Oberfläche aktivieren und den GNOME-Schlüsselbund/das KDE-Wallet automatisch
entsperren wollen. Somit geben Sie während des Systemstarts insgesamt nur ein Passwort ein.
Sie müssen das Passwort Ihres GNOME-Schlüsselbundes/Ihrer Kwallet identisch zu der LUKS-Passphrase
setzen. Dann fügen Sie die folgenden Zeilen zu der PAM-Konfiguration Ihres Display-Managers unter
/etc/pam.d/ hinzu (z.B. sddm-autologin):
-auth optional pam_systemd_loadkey.so
-auth optional pam_gnome_keyring.so
-session optional pam_gnome_keyring.so auto_start
-session optional pam_kwallet5.so auto_start
Fügen Sie auch die folgenden Zeilen zu der Systemd-Dienstedatei des Display-Managers hinzu, so dass er
auf den Schlüsselbund von Root zugreifen kann:
[Service]
KeyringMode=inherit
So eingerichtet wird systemd-cryptsetup@.service(8) während der frühen Systemstartphase nach der
Passphrase fragen und sie im Kernel-Schlüsselbund unter dem Schlüsselnamen »cryptsetup« speichern. Wenn
dann der Display-Manager das automatische Anmelden durchführt, wird pam_systemd_loadkey(8) die Passphrase
vom Kernelschlüsselbund lesen und sie als PAM-Authtok setzen. Anschließend werden pam_gnome_keyring und
pam_kwallet5 mit der gleichen Passphrase entsperrt.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
Mailingliste der Übersetzer.
systemd 257.3 PAM_SYSTEMD_LOADKEY(8)